Bulletin d'alerte Debian

DSA-4112-1 xen -- Mise à jour de sécurité

Date du rapport :
14 février 2018
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-17563, CVE-2017-17564, CVE-2017-17565, CVE-2017-17566.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen :

  • CVE-2017-17563

    Jan Beulich a découvert qu'une vérification incorrecte de dépassement de compte de références dans le mode « shadow » de x86 peut avoir pour conséquence un déni de service ou une augmentation de droits.

  • CVE-2017-17564

    Jan Beulich a découvert qu'un traitement incorrect d'erreur de compte de références dans le mode « shadow » de x86 peut avoir pour conséquence un déni de service ou une augmentation de droits.

  • CVE-2017-17565

    Jan Beulich a découvert qu'une vérification incomplète de bogue dans le traitement du mode « log-dirty » de x86 peut avoir pour conséquence un déni de service.

  • CVE-2017-17566

    Jan Beulich a découvert que les clients PV de x86 peuvent obtenir un accès à des pages à usage interne qui pourrait avoir pour conséquence un déni de service ou une potentielle augmentation de droits.

En complément, cette mise à jour fournit le « shim » Comet pour traiter les vulnérabilités de type Meltdown pour les clients avec des noyaux PV anciens. Le paquet fournit en plus l'atténuation Xen PTI stage 1 qui est intégrée et activée par défaut sur les systèmes Intel mais peut être désactivée avec l'option « xpti=false » sur la ligne de commande de l'hyperviseur (Cela n'a pas de sens d'utiliser à la fois xpti et le « shim » Comet.)

Veuillez consulter l'URL suivante pour plus de détails sur la manière de configurer des stratégies individuelles d'atténuation : https://xenbits.xen.org/xsa/advisory-254.html

Des informations supplémentaires peuvent être trouvées dans README.pti et README.comet.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.8.3+comet2+shim4.10.0+comet3-1+deb9u4.1.

Nous vous recommandons de mettre à jour vos paquets xen.

Pour disposer d'un état détaillé sur la sécurité de xen, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xen